Abo
  • IT-Karriere:

JSFuck: Esoterischer Javascript-Stil ermöglicht XSS bei Ebay

Die XSS-Filter von Ebay lassen sich mit Hilfe eines zu Lernzwecken erstellten Javascript-Stils überlisten, um fremden Code auszuführen. Ebay will den Fehler nur halbherzig beheben. Der Entwickler von JSFuck zeigte sich im Gespräch mit Golem.de überrascht von dem Szenario.

Artikel von veröffentlicht am
Mit Hilfe von maskiertem Javascript-Code könnten Angreifer Phishing-Angriffe auf Ebay-Nutzer durchführen.
Mit Hilfe von maskiertem Javascript-Code könnten Angreifer Phishing-Angriffe auf Ebay-Nutzer durchführen. (Bild: Checkpoint)

Die Sicherheitsfirma Checkpoint hat heute, Dienstag, ein Angriffsszenario vorgestellt, mit dem Händler auf Ebay ihren Kunden bösartigen Javascript-Code unterschieben könnten, um damit Phishing-Angriffe oder andere Aktionen auszuführen. Das Problem liegt in der Art und Weise, wie Ebay aktive Code-Elemente prüft - und in einem esoterischen Programmierstil für Javascript.

Stellenmarkt
  1. Universitätsklinikum Augsburg, Augsburg
  2. Hays AG, Wiesbaden (Home-Office möglich)

"Mit dem Ebay-Angriff können Cyberkriminelle Nutzer auf einfache Art ins Visier nehmen: Sie führen den Angriff aus, indem sie einen Link zu einem hochattraktiven Produkt senden. Die hauptsächliche Bedrohung sind die Verbreitung von Malware und das illegale Kopieren persönlicher Informationen", sagte Oded Vanunu, Leiter der Sicherheitsforschungsgruppe bei Checkpoint, im Gespräch mit Golem.de.

Die Sicherheitsforscher von Checkpoint haben für ihren theoretischen Angriff JSFuck benutzt. Mit JSFuck können Javascript-Befehle mit Hilfe von nur sechs verschiedenen Symbolen dargestellt werden. Diese sind !, [, ], +, (, und ). Das False-Kommando wird zu ![], die Ziffer 10 zu [+!+[]]+[+[]]. Eine vollständige Liste findet sich bei Github. Auf der Webseite von JSFuck kann bestehender Code mit Hilfe eines Tools einfach umgewandelt werden. Mit diesem umgewandelten Code konnten die Forscher dann bösartigen Javascript-Code von einem von ihnen kontrollierten Server laden - und könnten damit zum Beispiel Phishing-Angriffe mit Overlay-Fenstern durchführen. Der Angriff soll auf dem Desktop, aber auch in den Ebay-Apps für Android und iOS funktionieren.

JSFuck war nur als Hobbyprojekt gedacht

Das Projekt wird auf der Webseite als esoterischer Programmierstil bezeichnet, der nur zu Schulungszwecken und aus Spaß am Herumprobieren entwickelt wurde. Initiator Martin Kleppe sagte im Gespräch mit Golem.de: "Mit JSFuck wollte ich eigentlich nur zeigen, dass Javascript mit nur sehr wenigen unterschiedlichen Zeichen geschrieben werden kann." Kleppe zeigte sich überrascht darüber, dass mit JSFuck konvertierter Javascript-Code jetzt eingesetzt wurde, um die Entdeckung aktiver Elemente durch XSS-Filter zu umgehen.
Mit Hilfe von JSFuck haben die Sicherheitsforscher von Checkpoint nach eigenen Angaben Javascript-Code erzeugt, der von Ebays Filtermechanismen nicht entdeckt wird. Normalerweise zeigt der Online-Händler eine Fehlermeldung an, wenn Javascript-Elemente im HTML-Code der Händlerseite eingefügt werden. Checkpoint gibt an, Ebay bereits im Dezember auf die Untersuchungsergebnisse hingewiesen zu haben. Die beschrieben Sicherheitslücke wurde gefixt, eine generelle Abkehr von "aktive Inhalte" soll es jedoch nicht geben. Nach Veröffentlichung des Blogposts habe Ebay aber nun die zu Testzwecken angelegten Testkonten gesperrt, sagte ein Checkpoint-Vertreter im Gespräch mit Golem.de.

Nachtrag vom 4. Februar 2016, 9:26 Uhr

Ebay hat sich mittlerweile zu dem Vorfall geäußert. In einem von Ars Technica veröffentlichten Statement schreibt das Unternehmen: "Wir waren mit den Forschern in Kontakt und haben verschiedene, auf ihren Untersuchungsergebnissen basierende Filter installiert, die diesen Exploit entdecken würden." Nicht näher spezifizierten "aktiven Content" solle es aber auch weiterhin auf Ebay geben - Sicherheitsvorfälle damit würde es äußerst selten geben, schreibt das Unternehmen. Wir haben den Text an die neue Sachlage angepasst.



Anzeige
Hardware-Angebote
  1. 83,90€
  2. 469,00€
  3. 299,00€

My1 15. Feb 2016

rainbow table ist durchaus schön aber wenn man 4 zufällige worte aus einer bekannten 2048...

My1 15. Feb 2016

JSFuck basiert auf der sehr laxen automatischen Typenumwandlung was es halt erlaubt das...

cpt.dirk 12. Feb 2016

Dazu ist niemand verpflichtet, es können sehr einfach Skripte je externer Domain separat...

crazypsycho 05. Feb 2016

Das script-Tag rauszufiltern ist technisch auf Serverseite überhaupt kein Problem. PHP...

crazypsycho 03. Feb 2016

Das mit bgcolor könnte man ja noch mit abwärtskompatiblität zu Uralt-Browser erklären...


Folgen Sie uns
       


Lenovo Smart Display im Test

Die ersten Smart Displays mit Google Assistant kommen von Lenovo. Die Geräte sind ordentlich, aber der Google Assistant ist nur unzureichend an den Touchscreen angepasst. Wir zeigen in unserem Testvideo die Probleme, die das bringt.

Lenovo Smart Display im Test Video aufrufen
Zulassung autonomer Autos: Der Mensch fährt besser als gedacht
Zulassung autonomer Autos
Der Mensch fährt besser als gedacht

Mehrere Jahre haben Wissenschaftler und Autokonzerne an Testverfahren für einen Autobahnpiloten geforscht. Die Ergebnisse sprechen für den umfangreichen Einsatz von Simulation. Und gegen den schnellen Einsatz der Technik.
Von Friedhelm Greis

  1. Autonomes Fahren US-Post testet Überlandfahrten ohne Fahrer
  2. Mercedes-Sicherheitsstudie Wenn das Warndreieck autonom aus dem Auto fährt
  3. Einride T-Pod Autonomer Lkw fährt in Schweden Waren aus

Bethesda: Ich habe TES Blades für 5,50 Euro durchgespielt
Bethesda
Ich habe TES Blades für 5,50 Euro durchgespielt

Rund sechs Wochen lang hatte ich täglich viele spaßige und auch einige frustrierende Erlebnisse in Tamriel: Mittlerweile habe ich den Hexenkönig in TES Blades besiegt - ohne dafür teuer bezahlen zu müssen.
Ein Bericht von Marc Sauter

  1. Bethesda TES Blades erhält mehr Story-Inhalte und besseres Balancing
  2. Bethesda TES Blades ist für alle verfügbar
  3. TES Blades im Test Tolles Tamriel trollt

Bundestagsanhörung: Beim NetzDG drohen erste Bußgelder
Bundestagsanhörung
Beim NetzDG drohen erste Bußgelder

Aufgrund des Netzwerkdurchsetzungsgesetzes laufen mittlerweile über 70 Verfahren gegen Betreiber sozialer Netzwerke. Das erklärte der zuständige Behördenchef bei einer Anhörung im Bundestag. Die Regeln gegen Hass und Hetze auf Facebook & Co. entzweien nach wie vor die Expertenwelt.
Ein Bericht von Justus Staufburg

  1. NetzDG Grüne halten Löschberichte für "trügerisch unspektakulär"
  2. NetzDG Justizministerium sieht Gesetz gegen Hass im Netz als Erfolg
  3. Virtuelles Hausrecht Facebook muss beim Löschen Meinungsfreiheit beachten

    •  /